Erweiterung
Wie gesagt, es waren drei unterschiedliche Seiten. Es gibt keine Drittkomponente, Modul etc. was ich auf allen drei Seiten installiert habe. Bei allen drei war aber der flashupload des TinyMCE aktiviert. Ich weiß nicht ob darüber so etwas möglich ist. Und wie auch schon gesagt, ich denke der Ursprung des Angriffs hat im Ordner images begonnen. Aber das ist nur eine Vermutung
Ich will nicht ausschließen, daß es eine Lücke TinyMCE war. Jedoch sollte es dann wesentlich mehr Meldungen über Einbrüche geben.Zitat von Whitedragon
Das ist zwar auch keine technisch fundierte Begründung, aber eine halbwegs logische.
Dort liegen normalerweise nur Grafik- und einfach html-Dateien. Also keine Scripte oder so was.Und wie auch schon gesagt, ich denke der Ursprung des Angriffs hat im Ordner images begonnen. Aber das ist nur eine Vermutung
images.php
Dort ist aber plötzlich eine Datei namens images.php aufgetaucht. Und diese tauchte dann auch in fast allen Ordnern von Komponenten/Modulen auf wo es ein Unterordner images gab.
Den neuerlichen Angriff habe ich wahrscheinlich mitbekommen als es gerade angefangen hatte. Denn es war erst ganz wenig geändert. Und mE wurden zuerst Änderungen im ordner images vorgenommen.
Schadcode
Ich könnte ja mal Auszüge aus dem Schadcode als jpg-Datei hochladen wenn das was bringt und wenn aus Sicherheitsgründen nichts dagegen spricht.
Das die Datei dort aufgetaucht ist, sagt nichts darüber aus, wie sie dort hin gekommen ist. Und das ist interessant.
Den Schadcode brauchst Du nicht öffentlich zu posten. Der ist für die Suche nach der Lücke unerheblich. Wenn jemand persönlich Interesse daran hat, kann er sich per PN bei Dir melden.
Logs
Also nach den ftp_logfiles war die images.php im Ordner images die erste die eingespielt wurde. Aber in den access_log befinden sich keine Einträge die zeitlich passen und keine die von der IP her passen.
Das gilt für alle meine gehackten Seiten.
Den TinyMCE würde ich nicht als den Angriffspunkt vermuten.
Es reicht aus, wenn über eine Deiner Seiten, z.B. über eine nicht aktuelle Komponente, ein erfolgreicher Angriff erfolgt ist.
Du schreibst selbst, dass Du hier und da 777 als Verzeichnis-Rechte vergeben musstest. Damit kann es einem Angreifer ermöglicht werden, Schadcode von einem ins andere Web zu überspielen.
Du solltest also alle eingesetzten Komponente prüfen, jeweils die aktuelle Version holen und mal nachsehen, ob in einer Deiner älteren Versionen vielleicht eine Sicherheitslücke war.
Davon abgesehen hast Du das Grundproblem, dass Dein Joomla auf diesem Server niemals sicher zu betreiben ist, wenn 777-Rechte dafür nötig sind. Dieses Problem musst Du vordringlich lösen, indem Du mit Deinem Hoster sprichst oder Dir einen neuen suchst (es gibt genug joomlataugliche Hoster). Alles andere hat niedrigere Priorität.
Erst wenn das passiert ist, ist der zweite Schritt, Deine Seiten auf dem Server komplett plattzumachen, wirklich ALLES wegzulöschen und aus Deinen Backups neu aufzuspielen. Diesmal auf korrekte Rechtesetzung achten (Dateien normalerweise 644, Verzeichnisse normalerweise 755). Alle verwendeten Extensions in aktuellen Versionen einspielen.
Außerdem alle Passwörter neu einrichten: jeweils für FTP, MySQL, Joomla-Administration.
Viele Grüße,
Zorro
777
also das mit dem 777 ist geklärt, das geht jetzt mit 755 bzw. 644. Hier war ich einfach zu ungeduldig. Der Server hat etwas länger gebraucht um auf die Einstellung zu reagieren und mir daher alles noch als schreibgeschützt angezeigt.
Wahrscheinlich geklärt
Die Ursache der Angriffe ist warscheinlich geklärt. Joomla ist wohl unschuldig. Die Angriffe kamen sehr wahrscheinlich über ftp und wahrscheinlich waren meine vermeintlich sicheren Passwörter ausgespäht.
Ich habe heute morgen einen Virenscan gemacht und der hat angeschlagen:
Virus: Exploit.PDF-JS.Gen
Vielleicht war das des Rätsels Lösung. Jedenfalls sind dass die Momente in denen ich mich frage warum ich eine Bezahl-Antiviren-Software habe die erst dann was meldet wenn sie gezielt suchen soll ... Normalerweise bin ich mit GData sehr zufrieden
Mir ging es auch so dass 4 Seiten von mir gahackt wurden...
Muss nichtmal dein Server schule sein, so war es bei mir.
Ein Trojaner am PC der die FTP Daten ausspioniert und dann Schadcode in alle htm, html, js, php Dateien einplanzt...
Schau mal hier: http://www.joomlaportal.de/joomla-er...tml#post872743
und schau dir auch den Verweis in das JoomGallery Forum an dort habe ich auch gepostet...
Lg
christof
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen